Contas de serviço do Cloud Data Fusion

Antes de começar

Veja como as contas de serviço funcionam no Identity and Access Management.

Projetos de locatário e cliente

O Cloud Data Fusion configura contas de serviço para acessar recursos nos seguintes projetos:

Projeto de locatário

O Cloud Data Fusion cria um projeto de locatário para manter os recursos e serviços necessários para gerenciar pipelines em seu nome. Por exemplo: executar pipelines nos clusters do Dataproc que residam no projeto do cliente. Um projeto de locatário não é exposto a você, mas, ao criar uma instância particular, pode ser necessário usar o nome do projeto de locatário para configurar o peering de VPC.

Para mais informações, consulte a documentação da infraestrutura de serviços sobre projetos de locatário.

Projeto do cliente

Você cria e é proprietário deste projeto. Por padrão, o Cloud Data Fusion cria um cluster efêmero do Dataproc nesse projeto para executar os pipelines.

O diagrama a seguir mostra uma instância do Cloud Data Fusion em execução em um projeto de locatário. Além disso, apresenta um pipeline em execução em um cluster do Dataproc em um projeto de cliente.

Implante o pipeline.

Contas de serviço no Cloud Data Fusion

Uma conta de serviço fornece uma identidade para o Cloud Data Fusion, que oferece acesso ao Cloud aos seus recursos.

Quando você ativa a API Data Fusion, o Cloud Data Fusion cria uma conta de serviço gerenciada pelo Google para ter acesso a recursos como Service Networking, Dataproc, Cloud Storage, BigQuery, Cloud Spanner e Cloud Bigtable. Essa conta de serviço é chamada de agente de serviço da API Cloud Data Fusion. Os papéis são concedidos automaticamente a esse agente de serviço.

Uma conta de serviço é identificada pelo endereço de e-mail dela, que é exclusivo.

Os tipos de contas de serviço a seguir usados no Cloud Data Fusion. Para mais informações, consulte Tipos de contas de serviço.

Conta de serviço Descrição
service-CUSTOMER_PROJECT_NUMBER@gcp-sa- datafusion.iam.gserviceaccount.com A conta de serviço gerenciada pelo Google, chamada de agente de serviço da API Cloud Data Fusion, que o Cloud Data Fusion cria para ter acesso aos recursos do cliente para que ele possa agir em nome do cliente. Ela é usada no projeto de locatário para acessar os recursos do projeto do cliente. Por exemplo, a visualização é executada na memória, e não em um cluster do Dataproc.
CUSTOMER_PROJECT_NUMBER- compute@developer.gserviceaccount.com A conta de serviço padrão do Compute Engine que o Cloud Data Fusion cria para implantar jobs que acessam outros recursos do Google Cloud. Por padrão, ele é anexado a uma VM de cluster do Dataproc para permitir que o Cloud Data Fusion acesse recursos do Dataproc durante uma execução de pipeline. No Cloud Data Fusion Enterprise, é possível executar pipelines de uma conta de serviço gerenciada pelo usuário criando um perfil na guia "Administrador" do sistema do Console do Cloud Data Fusion e adicionando a conta de serviço personalizada. Nas versões 6.2.3 e posteriores, é possível escolher uma conta de serviço personalizada para anexar ao cluster do Dataproc ao criar uma instância do Cloud Data Fusion. Para mais informações, consulte Contas de serviço no Dataproc.
cloud-datafusion-management-sa@TENANT_PROJECT_ID .iam.gserviceaccount.com Uso suspenso. Atualmente, essa conta de serviço não é criada ou usada. Ele é como um campo de API para encontrar o nome do projeto de locatário a ser usado no peering (consulte Configurar peering de Rede VPC).

A seguir